-4.png)
Tauche tiefer in GitHub ein
Wir waren damit beschäftigt, fast jeden Aspekt des GitHub-Erlebnisses zu verbessern mit cnspec, was es einfacher macht, sofort einsatzbereite Richtlinien zur Sicherung deiner GitHub-Infrastruktur anzuwenden und die Ressourcen und Benutzeroberflächen bereitzustellen, die du für die Erstellung benutzerdefinierter Richtlinien benötigst.
Die GitHub Organization Security by Mondoo-Richtlinie wurde von Grund auf neu geschrieben, um sich auf kritische Sicherheitseinstellungen in Ihrer Organisation und Ihrem Repository zu konzentrieren. Bestehende Abfragen, die sich auf bewährte Methoden für Open-Source-Repositorys konzentrierten, wurden entfernt und durch zusätzliche Sicherheitsabfragen ersetzt, um sicherzustellen, dass Einstellungen wie wichtige Schutzmaßnahmen für Filialen vorhanden sind.
Bei der Erstellung dieser Aktualisierungsrichtlinie haben wir festgestellt, dass in den verschiedenen GitHub-Ressourcen wichtige Daten fehlten, die für die Erstellung unserer sofort einsatzbereiten Richtlinien und benutzerdefinierten Richtlinien für Ihre Organisationen erforderlich waren. Wir haben die folgenden Änderungen vorgenommen, um die GitHub-Ressourcen zu verbessern:
- github.repository Ressourcen unterstützen jetzt die Anzahl der Repository-Stargazer, die Auflösung von Repo-Forks und Unterstützung bei Repository-Problemen.
- github.organisation Die Ressource enthält jetzt Avatar, Follower und folgende Daten
- github.user-Ressource ist stark erweitert, um die Überprüfung von Benutzerkonten zu erleichtern
- github.organisation und github.benutzer unterstützt jetzt das Sammeln von Informationen zu Gists
Schließlich haben wir die cnquery verbessert, um dir das Erkunden deiner GitHub-Infrastruktur zu erleichtern. Der Befehl cnquery shell github zeigt jetzt eine Liste der zu untersuchenden Repositorys an, sodass Sie das Repository, das Sie erkunden möchten, leichter finden können. Wir haben auch eine neue hinzugefügt cnquery shell Github-Benutzer Befehl, mit dem Sie Details zu GitHub-Benutzern mithilfe des erweiterten github.benutzer Ressource.
Scannen von AWS ECS-Containern
Sie können jetzt alle AWS ECS-Container scannen, wenn Sie Ihr AWS-Konto mit einem neuen scannen --entdecken Flaggenoption, ecs. Benutze diese Flagge mit cnquery und cnspec um ECS-Container in Ihrer Infrastruktur zu erkunden und zu sichern.
Fehler des Kubernetes-Operators anzeigen
Auf den Kubernetes-Integrationsseiten werden alle vom Mondoo Kubernetes Operator gemeldeten Fehler angezeigt, sodass Sie Operatorfehler einfacher beheben können.
Mehrere Anmeldemethoden in der Mondoo-Konsole
Problem: Benutzer, die sich ursprünglich mit ihrem E-Mail-Konto angemeldet hatten, hatten Schwierigkeiten, die Anmeldemethoden zu wechseln, nachdem ihr Konto erstellt wurde. Einige ziehen es vor, sich stattdessen mit ihren Google-, Microsoft- oder GitHub-Logins anzumelden.
Lösung: Sie können Ihrem Mondoo Platform-Konto jetzt mehrere Authentifizierungsmethoden hinzufügen, sodass Sie sich mit einer beliebigen Kombination von E-Mail-, Microsoft-, Google- oder GitHub-Konten anmelden können.
So änderst du deine Anmeldemethode:
- Wählen Sie in der oberen rechten Ecke der Mondoo-Konsole Ihr Benutzersymbol aus.
- Wählen Sie Benutzereinstellungen aus.
- Wählen Sie in der linken Navigationsleiste Sicherheit. Unter Verbundene Konten, Sie können Konten verbinden und trennen, um Ihre Anmeldemethoden zu aktualisieren.
CLI-Migration und bevorstehende Veröffentlichung
Unsere Migration von der alten Mondoo-CLI zu cnspec geht diesen Monat weiter, wobei viele Komponenten aktualisierte Anweisungen erhalten.
Zum Beispiel: CI-Integrationsbeispiele in der Konsole werden jetzt einfacher cnspec Schritte, und der Mondoo Kubernetes Operator verwendet den neuen cnspec Container-Images für alle Cluster-Scans.
Im Februar wird unsere nächste Hauptversion veröffentlicht, mit der die Migration der Mondoo-CLI zu abgeschlossen wird cnspec und verwerfen Sie langsam die alte CLI. Diese Migration ist sehr einfach, da sich die überwiegende Mehrheit der Befehle genau gleich verhält und gleichzeitig von weiteren Vereinfachungen profitiert cnspec.
PowerShell-Modul für die Installation von Mondoo
Problem: Sie müssen vertrauenswürdige Binärdateien von Mondoo mithilfe von Active Directory-Gruppenrichtlinien oder MDM-Lösungen auf Windows-Hosts bereitstellen.
Lösung: Sie können Mondoo jetzt mit einem neuen, von Mondoo.Installer signierten PowerShell-Modul installieren, das in der PowerShell-Galerie unter veröffentlicht ist https://www.powershellgallery.com/packages/Mondoo.Installer/1.0. Sie können dieses neue signierte Modul verwenden, um Mondoo-CLIs zur Verwaltung von Windows-Hosts bereitzustellen, indem Sie Folgendes ausführen Installieren - Mondoo.
Install-Module -Name Mondoo.Installer
Install-MondooDa unsere Skripte und Binärdateien vollständig signiert sind, ist der Rollout von cnquery und cnspec war nie einfacher. Das Modul überprüft automatisch, ob die neueste Version bereits installiert ist, oder es wird bei Bedarf auf die neueste Version aktualisiert:
Nachdem das Installationsskript abgeschlossen ist, cnquery und cnspec stehen zur Nutzung zur Verfügung:
Führen Sie cnspec als Dienst aus
Problem: Du möchtest vom bestehenden Mondoo-Client auf den neuen und erweiterten umsteigen cnspec Client, um Ihre Server zu scannen, aber cnspec kann nicht als Dienst ausgeführt werden.
Lösung: Du kannst jetzt rennen cnspec als Dienst zum kontinuierlichen Scannen von Servern und Workstations. cnspec ist unser Open-Source-Client der nächsten Generation mit Funktionen, die in der bestehenden Mondoo-Befehlszeilenschnittstelle (Mondoo Client) nicht zu finden sind. Wir empfehlen Ihnen dringend, Ihr System zu migrieren, um diesen neuen und verbesserten Client zu verwenden, da wir mit der Einstellung des Mondoo-Clients beginnen.
Nach der Bereitstellung des cnspec Paket auf Ihre Systeme, Sie können mit den folgenden Befehlen auf Systemd-basierten Linux-Hosts zum cnspec-Dienst migrieren:
systemctl stop cnspec.service
systemctl disable cnspec.service
systemctl enable cnspec.service
systemctl start cnspec.serviceErfahre mehr über cnspec hier.
Fügen Sie cnquery/cnspec-Integrationen hinzu
Sie können jetzt einrichten cnquery und cnspec um direkt auf der Integrationsseite der Konsole mit der Mondoo-Plattform zu kommunizieren.
Ressourcen setzen auf Integrationen
Die Integrationskacheln auf der Registerkarte „Integration“ zeigen jetzt eine Zusammenfassung der erkannten Ressourcen, der angewandten Richtlinien und der Gesamtzahl der angewandten Kontrollen. Jetzt können Sie leichter erkennen, wo Assets entdeckt wurden.
Triggern Sie AWS-Integrationsscans direkt in der Konsole
Problem: Ein problemloses kontinuierliches Scannen Ihrer AWS-Konten ist großartig, aber manchmal müssen Sie einen Scan auslösen, um den aktuellen Sicherheitsstatus zu bewerten.
Lösung: Jetzt können Sie auf der AWS-Integrationsseite einen einmaligen Scan Ihres AWS-Kontos auslösen.
Filtern Sie die zu scannenden Namespaces im Kubernetes-Operator
Problem: Verschiedene Teams sind für verschiedene Teile eines Kubernetes-Clusters verantwortlich und Sie müssen kontrollieren, welche Namespaces der Mondoo Kubernetes Operator scannt.
Lösung: Mondoo gibt Ihnen jetzt mehr Kontrolle darüber, welche Namespaces vom Kubernetes-Operator gescannt werden. Scanne alle Namespaces, scanne alle Namespaces außer einer Liste bestimmter Namespaces oder übernimm die volle Kontrolle und scanne nur bestimmte Namespaces.
Dienstkonten mit mehreren Rollen
Problem: Sie müssen zusätzliche Berechtigungen für Ihre Dienstkonten einrichten, möchten aber keine unnötigen Berechtigungen erteilen, indem Sie die Besitzer Rolle.
Lösung: Sie können einem Dienstkonto in der Konsole jetzt mehr als eine Rolle zuweisen, um detailliertere Berechtigungen für Dienstkonten bereitzustellen. Um die Berechtigungen für ein Dienstkonto festzulegen, wählen Sie das Einstellungen Tab, wählen Dienstkonten, wählen Sie das Konto aus, das Sie bearbeiten möchten, und wählen Sie dann den Genehmigungen knopf.
CLI-Scans mit mehreren Assets
Problem: cnspec Die Scanausgabe gibt Ihnen einen schnellen Einblick in die Sicherheitslage von Vermögenswerten. Beim Scannen komplexer Systeme wie Kubernetes-Cluster mit Hunderten oder Tausenden von Assets fallen jedoch häufig zu viele Daten an, um sie zu verarbeiten.
Lösung: Wir haben eine brandneue Übersichtsansicht für Asset-Scans entwickelt, mit der Sie die Sicherheitslage komplexer Systeme wie Kubernetes in cnspec. Wir haben auch die Fortschrittsberichte dieser Scans erheblich überarbeitet.
Ein Beispiel-Screenshot für den Scanfortschritt:
Ein Beispielscan eines kleinen Kubernetes-Clusters:
Scanned 21 assets
Debian GNU/Linux 9 (stretch)
F index.docker.io/library/nginx@f7988fb6c02e
F index.docker.io/library/postgres@3f4441460029
Kubernetes Cluster
F K8s Cluster minikube
Kubernetes DaemonSet
D kube-system/kube-proxy
Kubernetes Deployment
C kube-system/coredns
D luna/luna-frontend
D luna/postgres
Kubernetes Pod
C kube-system/coredns-565d847f94-b4pcx
C kube-system/etcd-minikube
D kube-system/kube-apiserver-minikube
D kube-system/kube-controller-manager-minikube
D kube-system/kube-proxy-bqthk
D kube-system/kube-scheduler-minikube
D kube-system/storage-provisioner
D luna/luna-frontend-7fb96c846b-jjnhz
D luna/luna-frontend-7fb96c846b-tmg95
D luna/luna-frontend-7fb96c846b-xrl6c
D luna/postgres-5bb9d69b96-d9zzg
Kubernetes ReplicaSet
C kube-system/coredns-565d847f94
D luna/luna-frontend-7fb96c846b
D luna/postgres-5bb9d69b96
D luna/postgres-655d75f54b
Summary
=======
Score Distribution Asset Distribution
------------------ ------------------
A 0 assets Kubernetes ReplicaSet 4
B 5 assets Kubernetes Pod 11
C 4 assets Kubernetes DaemonSet 1
D 15 assets Kubernetes Cluster 1
F 3 assets Debian GNU/Linux 9 (stretch) 2
Kubernetes Deployment 3
For detailed output, run this scan with "-o full".
See more scan results and asset relationships on the Mondoo Console: https://console.mondoo.com/space/fleet?spaceId=...JUnit-Ausgabeformat für cnspec
Problem: Sie möchten cnspec in Ihren CI-Pipelines ausführen, aber die Ausgabe ist schwer zu verstehen.
Lösung: Die cnspec-CLI kann jetzt JUnit-Ausgaben auf der CLI für die Integration mit gängigen CI/CD-Plattformen wie Jenkins oder GitLab erzeugen:
cnspec scan docker debian:10 --output junit > report.junit
<?xml version="1.0" encoding="UTF-8"?>
<testsuites>
<testsuite name="Policy Report for debian:10@edcf96f9d9d9" tests="85" failures="43" errors="0" id="0" time="">
<testcase name="Ensure auditd is installed" classname="score">
<failure message="results do not match" type="fail"></failure>
</testcase>
<testcase name="Ensure no duplicate UIDs exist" classname="score"></testcase>
<testcase name="Ensure root group is empty" classname="score"></testcase>
<testcase name="Ensure no duplicate group names exist" classname="score"></testcase>
<testcase name="Ensure source routed packets are not accepted" classname="score">
<failure message="results do not match" type="fail"></failure>
</testcase>
...
<testcase name="Ensure login and logout events are collected" classname="score">
<failure message="results do not match" type="fail">
</testcase>
</testsuite></testsuites>Erweiterte Tresorunterstützung für das Speichern von Geheimnissen
cnquery und cnspec bieten jetzt erweiterte Tresorunterstützung für die kurzfristige Speicherung geheimer Daten bei der Verwendung von Inventardateien. Sie können Geheimnisse jetzt in einem In-Memory-Tresor speichern oder die GCP KMS-Verschlüsselung und GCP Cloud Storage über das Berglas-Projekt verwenden.
Beispiel für eine Inventardatei, in der Geheimnisse mit g gespeichert werdencp-berglas:
apiVersion: v1
kind: Inventory
metadata:
name: inventory
spec:
assets:
- name: cool-stuff
connections:
- backend: 0
credentials:
- secret_id: storage/my-secrets/secret
type: 1
secret_encoding: 3
options:
discover:
targets:
- all
vault:
name: gcp-berglas
type: gcp-berglas
options:
project_id: idGCP-Dienstkonto in einem Inventardateitresor speichern
Problem: Sie möchten eine Inventardatei verwenden, um eine Reihe von zu scannenden GCP-Assets zu speichern, aber Sie möchten Anmeldeinformationen nicht unsicher in der Yaml-Konfiguration speichern.
Lösung: Sie können Ihre GCP-Dienstkontodaten jetzt in einem sicheren Inventartresor speichern, sodass Sie Inventardateien teilen können, ohne sich Gedanken über Anmeldeinformationen machen zu müssen. In dieser Beispiel-Inventardatei werden die Anmeldeinformationen gespeichert, die für den Zugriff auf die GCP-Infrastruktur mithilfe des GCP-Berglas-Projekts verwendet werden.
apiVersion: v1
kind: Inventory
metadata:
name: inventory
spec:
assets:
- name: cool-stuff
connections:
- backend: 13
credentials:
- secret_id: storage/random-bucket2/foo
type: 1
secret_encoding: 3
options:
discover:
targets:
- auto
vault:
name: gcp-berglas
type: gcp-berglas
options:
project_id: mondoo-dev-262313Sie können dieses Inventar dann auf der CLI ausführen, ohne Anmeldeinformationen in der CLI oder in env vars zu übergeben:
cnquery scan --inventory-file inv.yamlPräzise Kontrolle über das Scannen von Azure-Abonnements
Sie können jetzt steuern, ob bestimmte Azure-Abonnements bei Scans ein- oder ausgeschlossen werden sollen, mit neuen --abonnements und --Abonnements-Exclude Flaggen. Mit diesen neuen Flags können Sie steuern, welche Abonnements Sie überprüfen möchten. Um beispielsweise die cnquery-Shell für alle Abonnements außer zwei auszuführen, können Sie diese Abonnements explizit ausschließen:
cnquery shell azure --subscriptions-exclude=984df67f-fc2e-4ebf-80a2-1234567891011,1e829eb0-e6a3-4c7b-8212-1234567891011Politisches Linting
Problem: Benutzerdefinierte Richtlinien sind unglaublich flexibel, um Ressourcen nach Ihren Wünschen zu testen. Sie können jedoch umfangreich werden und Fehler oder falsche Daten enthalten, was zu unerwarteten Ergebnissen führen kann.
Lösung: cnspec enthält jetzt einen neuen Befehl cnspec bundle lint, der Ihnen hilft, falsch formatierte Richtlinien zu finden. Dieser neue Befehl prüft, ob die folgenden Bedingungen vorliegen:
- MQL-Kompilierungsfehler
- UID ist nicht gültig
- Fehlende Richtlinien-UID
- Fehlender Richtlinienname
- Keine eindeutige Richtlinien-UID
- In der Richtlinie fehlen Schecks
- Zugewiesene Abfrage fehlt
- Die Version der Richtlinie fehlt
- Die Richtlinienversion ist ungültig
- Fehlende Abfrage-UID
- Fehlender Abfragetitel
- Keine eindeutige Abfrage-UID
- Nicht zugewiesene Abfrage
- Fehlende Filter
Aber warte, es gibt noch mehr! Dieses neue Linting funktioniert mit GitHub Code Scanning über unsere Mondoo GitHub Action. Wenn Sie die aktualisierte Aktion anwenden, wird Ihr Repository nach Mondoo-Richtlinien durchsucht, Pull Requests mit Anmerkungen versehen, wenn es Probleme findet, und es werden sogar GitHub Code Scanning-Issues geöffnet, die Probleme beheben.
Die Aktion ist kompakt und erfordert kein Dienstkonto oder eine andere zusätzliche Einrichtung:
---
name: Lint Policies
on:
pull_request:
push:
branches:
- main
jobs:
build:
runs-on: ubuntu-latest
steps:
- name: Checkout repository
uses: actions/checkout@v3
- name: Lint cnspec policies and output SARIF
uses: mondoohq/actions/cnspec-lint@main
with:
path: .
output-file: "results.sarif"
- name: Upload SARIF results file
uses: github/codeql-action/upload-sarif@v2
with:
sarif_file: results.sarifDiese Aktion scannt jeden geöffneten PR und Merge und gibt dir Anmerkungen direkt in der GitHub-Benutzeroberfläche:
Die GitHub-Aktion ist in GitHub Code Scanning integriert, um GitHub Code Scanning-Issues für jedes Problem in deiner Richtlinie zu öffnen:
Aktualisierungen der Richtlinien
Neue CIS-Richtlinien für GCP und Azure
Mondoo enthält jetzt die neuesten CIS-Benchmark-Richtlinien für Azure, GCP, AWS und VMware, sodass Sie die komplexeste Multi-Cloud- und Hybrid-Cloud-Infrastruktur sichern können. Die CIS Microsoft Azure Foundations Benchmark-Richtlinie wurde von 1.1.0 auf 1.5.0 aktualisiert, und der CIS Google Cloud Platform Foundation Benchmark wurde von 1.1.0 auf 2.0.0 aktualisiert. Beide Richtlinien nutzen die neueste neue Ressource, die mit der neuen Version von cnspec ausgeliefert wurde, und beinhalten viele neue Abfragen sowie Prüf- und Korrekturschritte für alle Abfragen.
Neue und aktualisierte GUS-Richtlinien
Mondoo enthält jetzt die neuesten macOS- und Linux-CIS-Richtlinien mit neuen Richtlinien für die neuesten Betriebssystemversionen.
Neue GUS-Richtlinien:
- CIS Red Hat Enterprise Linux 9 Benchmark 9 1.0
- CIS AlmaLinux OS 9 Benchmark 1.0
- CIS Rocky Linux 9 Benchmark 1.0
- CIS Oracle Linux 9 Benchmark 1.0
- CIS Apple macOS 13.0 Ventura Benchmark 1.0.0
Aktualisierte CIS-Richtlinien:
- CIS CentOS Linux 8 Benchmark wurde von 1.0.1 auf 2.0.0 aktualisiert
- CIS Oracle Linux 8 Benchmark wurde von 1.0.1 auf 2.0.0 aktualisiert
- CIS SUSE Linux Enterprise 11 Benchmark wurde von 2.0.0 auf 2.1.1 aktualisiert
- CIS Apple macOS 10.15 Catalina Benchmark wurde von 2.1.0 auf 3.0.0 aktualisiert
- CIS Apple macOS 11.0 Big Sur Benchmark wurde von 2.1.0 auf 3.0.0 aktualisiert
- CIS Apple macOS 12.0 Monterey wurde von 1.1.0 auf 2.0.0 aktualisiert
Erkennen Sie ablaufende Zertifikate in Kubernetes-Ingresses
Eine neue Abfrage „Ingress-Zertifikate weniger als 15 Tage vor Ablauf“ in der Richtlinie „Kubernetes Best Practices by Mondoo“ erkennt, dass Zertifikate in Ihrem Kubernetes-Cluster kurz vor dem Ablaufdatum stehen. Diese Abfrage untersucht alle in einer Kubernetes-Ingress-Ressource definierten Zertifikate, die als Secret gespeichert sind, und schlägt fehl, wenn das Ablaufdatum weniger als 15 Tage beträgt.
MQL-Verbesserungen
Über Schlüssel und Werte iterieren
MQL unterstützt bereits den Zugriff auf Schlüssel und Werte über Schlüssel und Wert in Maps:
> sshd.config.params.where( key == /p/ )
sshd.config.params.where: {
ChallengeResponseAuthentication: "no"
Ciphers: "aes256-ctr,aes192-ctr,aes128-ctr"
}Wir haben diese Unterstützung um geparste JSON- und YAML-Strukturen erweitert:
> parse.json("my.json").params.where( value == 1 )
parse.json.params.where: {
apples: 1.000000
oranges: 1.000000
}Sie können diese Strukturen verwenden, um Maps schnell nach Schlüssel und Wert zu filtern oder um Assertionen zu treffen. So können Sie beispielsweise sicherstellen, dass bestimmte Schlüssel existieren
> parse.json("my.json").params.where( key == /or/ )
parse.json.params.where: {
"hawthorn berries": 16.000000
oranges: 1.000000
}Neue OpenPGP-Ressource
Sie können jetzt neue OpenPGP-Ressourcen verwenden, um auf Informationen über ihre Schlüssel und Identitäten aus MQL zuzugreifen. Dies kann beispielsweise verwendet werden, um zu überprüfen, ob die Repository-Signaturen noch gültig sind.
cnquery> parse.openpgp(path: "./expires.asc").all( identities.all( signatures.all( keyExpiresIn.days > 30 )))
[ok] value: trueUntersuchen Sie OpenPGP-Schlüssel mit der folgenden MQL-Abfrage:
parse.openpgp(path: "./expires.asc") {
primaryPublicKey { * }
identities {
id
signatures { * }
}
}Ergebnis von cnquery:
cnquery> parse.openpgp(path: "./expires.asc") { primaryPublicKey { * } identities { id signatures { * } } }
parse.openpgp.list: [
0: {
primaryPublicKey: {
id: "7312FA356E7DB13F"
bitLength: 4096
version: 4
fingerprint: "07a453f8aea248e1e9b8eae27312fa356e7db13f"
keyAlgorithm: "rsa"
creationTime: 2023-01-14 17:24:58 +0100 CET
}
identities: [
0: {
id: "Test Expiration <test2@example.com>"
signatures: [
0: {
keyAlgorithm: "rsa"
version: 4
keyExpiresIn: 363 days 23 hours 43 minutes 5 seconds
identityName: "Test Expiration <test2@example.com>"
signatureType: "positive_cert"
hash: "SHA-256"
creationTime: 2023-01-14 17:24:58 +0100 CET
lifetimeSecs: -1
expiresIn: null
fingerprint: "07a453f8aea248e1e9b8eae27312fa356e7db13f"
keyLifetimeSecs: 31449568
}
]
}
]
}
]Kubernetes Ingress-Ressourcen
Mondoo enthält jetzt neue Ressourcen zum Erkunden und Sichern von Kubernetes-Ingress-Objekten. Neue Ressourcen unterstützen die Erkundung der Ingress-Objekte selbst sowie der HTTP-Regeln in jedem Ingress.
Einige der neuen Ressourcen sind:
- k8s.ingress
- k8s.ingress.tls
- k8s.ingress.tls.certificates
Beispiel für eine cnspec-Shell-Abfrage:
k8s.ingresses: [
0: {
annotations: {}
namespace: "default"
labels: {}
manifest: {
apiVersion: "networking.k8s.io/v1"
kind: "Ingress"
metadata: {
creationTimestamp: null
name: "no-tls-ingress"
namespace: "default"
}
spec: {
ingressClassName: "nginx"
rules: [
0: {
host: "api.nexus.info"
http: {
paths: [
0: {
backend: {
resource: {
apiGroup: "k8s.example.io"
kind: "MyKind"
name: "my-resource"
}
}
path: "/"
pathType: "Prefix"
}
]
}
}
...Neue Azure-Ressourcen
Eine umfassende Liste neuer Ressourcen für Microsoft Azure wurde zu MQL hinzugefügt, darunter:
- NEUER Azure.CloudDefender
— NEUES azure.sql.server.vulnerability assessment
- NEUE Azure.Authorization.RoleDefinition
- NEU azure.mysql.FlexibleServer
- NEUE Speicherkonto-Ressourcen:
- azure.storage.account.queueService.properties
- azure.storage.account.blobService.properties
- azure.storage.account.tableService.properties
- Azure.Storage.Account.DataProtection
- NEU azure.network.watcher.flowlog
- NEUE Ressourcen zur Azure-Überwachung:
- Azure.Monitor.DiagnosticSettings
- azure.monitor.activitylog
- NEUE Azure CloudDefender-Ressourcen:
- azure.clouddefender.Defender für Container
— azure.clouddefender.defender für Server
- NEUE Azure.ResourceGroups-Ressource
Für weitere Informationen werfen Sie einen Blick auf die Azure-Ressourcenpaket Dokumente.
Neue GCP-Ressourcen
cnquery und cnspec enthalten jetzt neue Ressourcen zur Sicherung von GCP, darunter:
- NEUER Pub/Sub gcp.project.pubsub
- NEUE KM gcp.project.kms
- NEUE API-Schlüssel GCP.Project.API-Schlüssel
- NEUE wichtige Kontakte GCP.PROJECT.ESSENTIALCONTACTS
- NEUE Protokollierung gcp.project.logging
- NEUES SQL gcp.projekt.sql
- NEUES GCF GCP.Project.Cloud-Funktionen
- NEUER CloudRun GCP.Project.CloudRun
- NEUE Dataproc-Cluster gcp.project.dataproc.clusters
- NEUE IAM-Dienstkonten gcp.project.iam.serviceKonten
- NEUE Rechen-Backend-Dienste GCP.Project.Compute.BackendServices
- NEUE Überwachungsrichtlinien GCP.Project.Monitoring.AlertPolicies
- gcp.compute.firewall beinhaltet jetzt erlaubte und verweigerte Daten
- gcp.compute.network enthält jetzt mehr Daten
- gcp.project.clusters ist jetzt gcp.project.gke.clusters
- gcp.bigquery ist jetzt gcp.project.bigquery
- gcp.compute ist jetzt GCP.Project.ComputeService
- gcp.dns ist jetzt GCP.Project.DNSDienst
- gcp.storage ist jetzt gcp.project.storage
- gcp.project.compute.networks beinhaltet jetzt Subnetzwerke Daten
- GCP.Project.ComputeService beinhaltet jetzt Vertrauliche Instanzkonfiguration Daten
- gcp.project.dns.ManagedZones beinhaltet jetzt DNSSEC-Konfiguration Daten
- gcp.project.kms.keyrings {cryptokeys {*}} beinhaltet jetzt erstellt, Nächste Drehung, Rotationsperiode, Versionsvorlage, Beschriftungen, Nur importieren, Geplante Dauer zerstören, und CryptoKey-Backend Daten
- gcp.projekt beinhaltet jetzt Allgemeine Instanz-Metadaten
- gcp.project.bigquery.datasets beinhaltet jetzt Zugriff Daten
- gcp.organisations und gcp.projekte jetzt einbeziehen Auf Genehmigungseinstellungen zugreifen Daten
- gcp.project.kms.schlüsselringe beinhaltet jetzt Kryptoschlüssel
- gcp.project.dns.policies beinhaltet jetzt netzwerk Daten
- gcp.project.logging.sinks beinhaltet jetzt Aufbewahrungseimer Daten
- gcp.project.storage.buckets beinhaltet jetzt Aufbewahrungsrichtlinie Daten
Einige Beispiele sind unten aufgeführt.
Wir haben neue Ressourcen hinzugefügt, um GCP KMS-Schlüsselringe und ihre kryptografischen Schlüssel abzufragen:
cnquery> gcp.project.kms.keyrings { * }
gcp.project.kms.keyrings: [
0: {
resourcePath: "projects/example-project/locations/global/keyRings/testring"
created: 2022-12-19 15:17:46.974842182 +0000 UTC
projectId: "example-project"
cryptokeys: [
0: gcp.project.kmsService.keyring.cryptokey name="testring-key" purpose="ENCRYPT_DECRYPT"
]
name: "testring"
location: "global"
}
]Überprüfen Sie die Details für Crypto Keys:
cnquery> gcp.project.kms.keyrings { name cryptokeys { * } }
gcp.project.kms.keyrings: [
0: {
name: "testring"
cryptokeys: [
0: {
purpose: "ENCRYPT_DECRYPT"
resourcePath: "projects/example-project/locations/global/keyRings/testring/cryptoKeys/testring-key"
versions: [
0: gcp.project.kmsService.keyring.cryptokey.version name="1" state="ENABLED"
]
name: "testring-key"
primary: gcp.project.kmsService.keyring.cryptokey.version name="1" state="ENABLED"
}
]
}
]Wir haben auch Unterstützung für GCP Pubsub-Abonnements, -Themen und Snapshots hinzugefügt:
cnquery> gcp.project.pubsub { * }
gcp.project.pubsub: {
topics: [
0: gcp.project.pubsubService.topic name="gke-cluster-event-queue"
]
snapshots: []
projectId: "example-project"
subscriptions: [
0: gcp.project.pubsubService.subscription name="gke-cluster-event-queue-subscription"
]
}Die vollständige Dokumentation für alle GCP-Ressourcen finden Sie in unserer GCP-Ressourcenpaket Dokumente.
Neue GCP-GKE-Ressource
Mit einer neuen Ressource gcp.project.clusters können Sie Ihre GKE-Cluster untersuchen und Richtlinien schreiben, um Ihre Cluster-Steuerungsebene zu schützen.
cnquery> gcp.project.clusters { * }
gcp.project.clusters: [
0: {
resourceLabels: {}
name: "luna-gke-cluster-2"
projectId: "luna-edge"
locations: [
0: "us-central1-b"
1: "us-central1-c"
2: "us-central1-f"
]
created: 2022-12-15 20:43:41 +0000 +0000
status: "RUNNING"
zone: "us-central1"
description: ""
nodePools: [
0: gcp.project.cluster.nodepool name="generic-pool"
]
loggingService: "logging.googleapis.com/kubernetes"
expirationTime: null
enableKubernetesAlpha: false
initialClusterVersion: "1.24.5-gke.600"
network: "luna-gke-cluster-2"
clusterIpv4Cidr: "10.20.0.0/16"
autopilotEnabled: false
endpoint: "63.192.209.236"
currentMasterVersion: "1.24.5-gke.600"
id: "123abcbcada644fcb3b83c30ea0efcfc3cd6d8f42a814bccbcb3503181e12b5a"
subnetwork: "luna-gke-cluster-2-subnet"
monitoringService: "monitoring.googleapis.com/kubernetes"
}
]Weitere Verbesserungen
Ein paar bemerkenswerte Highlights:
Beim Laufen cnspec scannt aws --discover Instanzen cnspec verwendet jetzt EC2 Instance Connect und SSM, um EC2-Instances zu verbinden und remote zu scannen.
cnspec und cnquery enthalten jetzt verbesserte Hilfe- und Ressourcenbeschreibungen: Wir haben viele Befehlsbeschreibungen verbessert, um neuen Benutzern zu helfen, Beschreibungen für viele Ressourcen hinzugefügt und einige ungültige Ressourcen entfernt, die in der automatischen Vervollständigung der Shell auftauchten.
Die Mondoo AWS-Integration wurde verbessert, um große und komplexe AWS-Umgebungen besser scannen zu können. Dies ermöglicht das Scannen von Regionen mit mehr als 1.000 laufenden Instanzen. Es verwendet jetzt AWS Instance Connect, um Instanzen zu scannen, wenn SSH-Scans fehlschlagen.
Weitere Verbesserungen:
- Verbessern Sie die Zuverlässigkeit vieler Steuerelemente in den CIS- und Mondoo-Linux-Richtlinien.
- Ändern Sie SSM-gescannte Instanzen so, dass sie nicht als „Andere“ Scans angezeigt werden.
- Vermeiden Sie Ratenbegrenzungen in der AWS Lambda-Integration, indem Sie die Gesamtzahl der API-Aufrufe reduzieren.
- Verbessern Sie die automatische Vervollständigung von Hilfe- und Ressourcentexten.
- Entfernen Sie einige nicht hilfreiche Warnmeldungen in cnspec und cnquery.
- Korrigieren Sie die Anzeige langer Kubernetes-Integrationsnamen auf der Kubernetes-Integrationsseite.
- Beheben Sie Anmeldefehler mit der neuesten Version von Safari auf macOS und iOS.
- Korrigiert die falsche Anzeige langer Organisations-IDs im Fenster „Organisation erstellen“.
- Behebt den MachineType-Fehler in gcp.compute.instances Ressource.
- Korrigiert Integer-Vergleiche in MQL, die fehlschlugen, wenn Ressourcen eine 32-Bit-Ganzzahl anstelle der angenommenen 64-Bit-Ganzzahl zurückgaben.
- Erlauben Sie Benutzern, mit der Tastatur durch die Konsolen-Tabs zu navigieren.
- Erlauben Sie Benutzern, Richtlinien, die alternative YAML-MIME-Typen verwenden, in den Policy Hub hochzuladen.
- Behebung von Fehlern in den Steuerelementen „Stellen Sie sicher, dass die Standardbenutzer-Umask 027 oder höher ist“ und „Stellen Sie sicher, dass die Standardbenutzer-Umask konfiguriert ist“ in den Richtlinien von Mondoo und CIS Linux.
- Korrigieren Sie, dass einige Hilfeskriptionen nicht angezeigt wurden.
- Schneide den Anfang einiger Hilfeskriptionen nicht ab.
- Wenn Sie zwei oder mehr Suchfilter in der Konsole verwenden, müssen alle Filter übereinstimmen und nicht nur einer.
- Erlauben Sie Organisationsinhabern, Einladungen zu löschen.
- Verbessern Sie die Standardausgabe der Kernelressource.
- Korrigieren Sie, dass terraform.module nicht alle Module erkennt.
- Korrigieren Sie ungültige Befehlsbeispiele auf einigen Seiten zur Konsolenintegration.
- Aktualisieren Sie den Seitentext für Workstation-Integrationen, damit er den von Cloud-Anbietern verwendeten Begriffen besser entspricht.
- Zeige bessere Ergebnisse bei Fehlern in der Google Cloud (GCP) Security by Mondoo-Richtlinie.
- Überprüfen Sie die SSH-Serverkonfiguration nur, wenn der SSH-Server in der Linux Server Security von Mondoo installiert ist. Danke. @stdevel!
- Vermeiden Sie Fehler, wenn der Kubernetes Ingress keine Zertifikate hat.
- Korrigiert Abfragen in den Richtlinien Linux Workstation Security by Mondoo, BSI SYS.1.2 Windows Server und Amazon Web Services (AWS) Operational Best Practices, CIS Distribution Independent Linux Benchmark und CIS VMware ESXi 6.7 Benchmark, die nicht ausgeführt wurden.
- Zeigt keinen Policy-Lint-Fehler an, wenn an die Richtlinienspezifikation entweder Bewertungsabfragen oder Datenabfragen angehängt sind.
- Verbessern Sie die Zuverlässigkeit beim Scannen von Instanzen mithilfe von SSM in cnquery, cnspec und der Mondoo AWS-Integration.
- Beschreiben Sie besser, wann ein Verzeichnis mit Terraform- oder Kubernetes-Dateien gescannt wird.
- Verbessern Sie die Zuverlässigkeit von MQL-Abfragen, die Befehle gleichzeitig ausführen.
- Lassen Sie die Socketstats-Ressource nicht stillschweigend ausführen, wenn sie nicht unterstützt wird.
- Verbessern Sie die Zuverlässigkeit beim Scannen von ECR-Bildern.
- Stellen Sie sicher, dass die Ressourcen-IDs von gcp.project.bigquery immer eindeutig sind.
- Ändern Sie die Standardwerte in github.repository von id in fullName, um das Auffinden von Repositorys zu erleichtern.
- Drucken Sie Beschriftungen, wenn Sie MQL-Abfragen ausführen, die Variablen innerhalb von Blöcken verwenden.
- Zeigt einen Fehler an, anstatt abzustürzen, wenn die Konfigurationsdatei falsch formatierte Schlüssel enthält.
- Vermeiden Sie einen möglichen Absturz, wenn Sie cnspec login auf einer Neuinstallation ausführen.
- Behebung eines Problems, bei dem der Fallback zur SSH-Agent-Authentifizierung nicht richtig funktionierte
- Verbessern Sie die Anweisungen zur Einrichtung des Clients in der Konsole, um Fehler zu beheben
- Vereinfachen Sie die Anweisungen zur Einrichtung der Workstation
- Aktualisieren Sie die Packer-Integrationsanweisungen, um cnspec und das neueste Mondoo-Packer-Plugin zu verwenden
- Aktualisiere langlebige Token-Anweisungen, um cnspec zu verwenden
- Stellen Sie sicher, dass die Abfrageergebnisdaten in den Scanergebnissen der Konsole angezeigt werden
- Verbessern Sie die Zuverlässigkeit der Kubernetes-Integrationsstatusdaten in der Konsole
- Korrigiert das Laden von Inventardateien, wenn cnspec im Serve-Modus läuft
- Korrigieren Sie die BSI/CIS/Mondoo-Windows-Richtlinien, um Benutzer auf einem System zu berücksichtigen, die sich noch nicht angemeldet haben
- Verbessern Sie die Abhilfemaßnahmen in den Richtlinien von Mondoo und CIS
- Behebt langsame Ladezeiten auf der Registerkarte „Integrationen“
- Korrigieren Sie, dass anbieterspezifische Symbole für Richtlinien in Policy Hub nicht immer angezeigt werden
- Fügen Sie dem bestehenden Befehl mondoo register einen Alias für mondoo login hinzu, sodass die Befehle cnspec und mondoo übereinstimmen
